D-Link DNS-343 jest urządzeniem klasy NAS (koszt ~520$), w którym ujawniono podatność pozwalającą na zdalne wykonanie kodu. DNS-343 ma możliwość udostępniania zasobów przez serwer www (goAhead Web Server) na którym odkryto w katalogu “maintenance” skrypt test_mail.asp. Analiza opisywanego skryptu wykazała, że dane przekazywane do niego w żaden sposób nie są walidowane, oraz wykonuje on bezpośrednio polecenie systemowe. Pozwoliło to atakującemu na wstrzyknięcie kodu do polecenia, które zostało z powodzeniem wykonane w systemie. Producent został poinformowany o podatności. Jednak ze względu na brak odzewu przez ostatnie 6 miesięcy błąd został opublikowany wczoraj.
Źródło: https://cxsecurity.com/issue/WLB-2018010141
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.
